双HSRP 实现双ISP完美切换.pdfVIP

FirwallFailoverActive/Active 双 HSRP 实现 双ISP完美切换 failover Active/Active 是与context 结合，实现一个context 出现了故障， 自动切换到另外一个，实现流量不间断转发，当然不间断是需要合理的配置holdtime 时间 的，默认情况下 可能会需要45s 的切换时间来完成。 这个模型是在秦柯老师的课程中提到的，最近也在学习和研究高可用性的方案，由于机 子没装画图的工具，就用GNS3 做了个逻辑拓扑 。这个逻辑拓扑只是为了让思路更加清晰， 明了。 实际中肯定不会拿那么多交换机来做单独的连接。 第一个拓扑是failover Active/Active 的，只能实现FW 出现了故障才会切换，而SP 出现 了故障缺不能实现切换，导致一部分内部网络无法上外网的问题。 基于第一个拓扑的原因，第二个拓扑SP1 和SP2 多加入了一条线路，来完成双HSRP 的工作， 这样能解决无论是FW 还是边界路由器故障，都能实现完美的切换。 如果是第一次做这个模型，强烈建议做第一个没有HSRP 的，不然你很容易奔溃的。 这个拓扑是实际拓扑，全部的接口都连接在一个交换机上，其实对于这个模型，最难点不是 配置，而是交换机VLAN 的划分， firewall 接口的划分，这是比较麻烦的。 关于接口的 划分，在做这个模型实验的时候，连接一个接口 就记下来，不然后面全部搞混淆了。 基本VLAN 划分，这里trunk 是因为FW 的接口要起子接口，所以与firewall 之间起trunk 来解决问题。 SW(config)#vlan 2 SW(config-vlan)#name HSRP_1 SW(config-vlan)#vlan 3 SW(config-vlan)#name HSRP_2 VLAN2 作为SP1 的使用，包括HSRP 协商的接口 firewall 的接口 VLAN3 作为SP2 的使用，包括HSRP 协商的接口 firewall 的接口 SW(config-vlan)#vlan 4 SW(config-vlan)#name A/A 单独划分一个VLAN，作为failover 的协商 statefull 的复制。 SW(config)#vlan 5 SW(config-vlan)#name inside.1 SW(config-vlan)#vlan 6 SW(config-vlan)#name inside.2 VLAN5 和VLAN6 是inside.1和inside.2分别划分。 SW(config-vlan)#int range f1/6 -7 , f1/8 -9 SW(config-if-range)#switchport mode trunk 起trunk，是因为在实际中可能接口不是那么多，所以这里我用子接口作为配置，虽然配置 繁琐了点，但是对于自己的思路，跟方案也算一种提升咯。 SW(config)#int range f1/0 - 1 SW(config-if-range)#switchport mode access SW(config-if-range)#switchoport access vlan 2 SW(config)#int range f1/2 - 3 SW(config-if-range)#switchport mode access SW(config-if-range)#switchport access vlan 3 SW(config-if-range)# SW(config-if-range)#int range f1/4 -5 SW(config-if-range)#switchport mode access SW(config-if-range)#switchport access vlan 4 SW(config)#int f1/10 SW(config-if)#switchport mode access SW(config-if)#switchport access vlan 5 SW(config-if)#int f1/11 SW(config-if)#switchport mode access SW(config-if)#switchport access vlan 6 这里把对应的VLAN 划分不同的VLAN 中，这张表就对应我图上的VLAN 信息。 这是在连接 接口的时候 连接一个写上一个，不然后面就奔溃了。这里我用A